SSL sertifikatai: draudimas ir garantijos

SSL sertifikatų draudimas – finansinės apsaugos iliuzija

Dauguma SSL sertifikatų suteikia finansines garantijas svetainės lankytojams. Pavyzdžiui, Thawte SSL 123 suteikia 500.000$ draudimą. Tai didžiulė suma 149$ kainuojančiai paslaugai. Perskaitę sąlygas po žvaigždutėmis suprasite, kad pusės milijono taip lengvai negausite.

Sužinokite, ką šis draudimas reiškia praktiškai ir kaip jis veikia.

SSL sertifikato draudiminis įvykis

Symantec, kuri valdo Thawte, Verisign, GeoTrust ir RapidSSL sertifikatų išdavimą, visiems savo sertifikatams taiko tas pačias draudimo sąlygas (dokumentas čia). Pagal jas yra tik vienas praktiškai įmanomas draudiminis įvykis – jei sertifikavimo institucija sertifikatą išduoda ne domeno savininkui, taip neteisingai patvirtindama jo tapatybę.

Pagrindinė Symantec draudimo sumos išmokėjimo sąlygą – SSL sertifikato pirkėjas dėl to patyrė tiesioginių finansinių nuostolių ir gali tai įrodyti. Niuansas toks, kad jei jums išdavė neteisingą sertifikatą, jūs dėl to dar nepatyrėte jokių nuostolių ir paprašysite naujo. Bandyti jį naudoti ir dėl to patirti nuostolių praktiškai neišeis – blogas sertifikatas tiesiog nepraeis testų po įdiegimo. Jei kažkaip tų nuostolių ir patirsite, akivaizdžiai veikėte neracionaliai savo nenaudai ir draudimas jums negalioja.

Nuostolius čia patirti gali tik lankytojai. Jei sukčius sugebėjo apgauti sertifikavimo instituciją ir išsiimti sertifikatą ne savo vardu, jis jį gali naudoti tam, kad apsimestų svetimo domeno savininku. Jei jis sugeba įsilaužti į interneto teikėjų tinklus ir nukreipti lankytojus į savo falsifikuotą svetainę, iš sertifikatu pasitikinčio lankytojo gali išgauti privačią informaciją.

Toks svetainės lankytojas gali patirti realių nuostolių praradęs savo kreditinės kortelės duomenis ir pan. Bet jis nėra Symantec klientas ir šis draudimas jam negalioja. Sukčiui draudimas irgi negalioja, nes jis pažeidė draudimo sąlygas pateikdamas klaidinančią informaciją apie save. Tad net jei sukčius bus nustatytas ir iš jo lankytojas prisiteis kompensaciją, pagal sertifikato sutartį Symantec vis tiek neturėtų nieko mokėti.

Svetainės lankytojams galioja Symantec pasitikinčios šalies sutartis (dokumentas čia). Joje nurodytas tas pats draudiminis įvykis, tik išmoka skirta svetainės lankytojui. Čia sertifikatai suskirstyti į 3 klases. Thawte SSL 123 sertifikatas priklauso antrai klasei, kuriai maksimali sertifikato draudimo suma – 5.000$. Vadinasi, reali Symantec sertifikato draudimo suma yra 100 kartų mažesnė, nei nurodyta reklamoje.

Verta pastebėti, kad draudimo suma nurodyta ne lankytojui, o sertifikatui, t.y. tą sumą dalintųsi visi lankytojai. Esant tūkstančiui nukentėjusių, galėtumėte pretenduoti į 5$ išmoką. Pats brangiausias, 1.499$ kainuojantis SSL sertifikatas Symantec Secure Site Pro EV, kuriam skelbiama 1.750.000$ garantija, pagal savo trečią klasę iš tikrųjų turi tik 100.000$ draudimą pasitikintiems asmenims. Jei įrodytumėte, kad įvykdėte visus punktus pagal draudimo sąlygas ir tikrai patyrėte konkrečius nuostolius, turint minty vienam lankytojui tenkančią sumą, draudimo išsireikalavimo iš Symantec procesas tampa beprasmis.

Comodo draudimo sąlygos (dokumentas čia) numato tą patį draudiminį įvykį ir panašias sąlygas pasitikintiems asmenims. Esminis skirtumas tik tas, kad pasitikintiems asmenims galioja ta draudimo suma, kuri skelbiama prie Comodo sertifikato. Vadinasi, net pigiausias Comodo sertifikatas Positive SSL, kainuojantis 49$, siūlo dvigubai didesnį draudimą lankytojams nei Thawte SSL 123, kainuojantis 149$.

Lietuvos kontekste Comodo turi vieną niuansą. Jie kompensuoja tik tuos nuostolius, kuriuos lankytojas patyrė sukčiams perdavęs savo kreditinės kortelės duomenis, t.y. ką jam neteisingai nuskaitė nuo kortelės. Jei jis atidavė savo banko sąskaitos prisijungimus ar padarė neteisingą Paysera mokėjimą, tokioje situacijoje draudimas negalios. Tad nors Comodo draudimas teoriškai įmanomas, Lietuvoje jis galios tik ypatingai specifinėse situacijose.

Tokių niuansų turi visos sertifikavimo institucijos. Net per stebuklą amerikiečiams gaunant kompensacijas, iki lietuvių jos greičiausiai neateitų. Jei norite įsitikinti, galite patys perskaityti GlobalSign, DigiCert ir kitų sąlygas.

Apibendrinant, gauti draudimo išmoką iš Symantec grupės yra praktiškai neįmanoma, o teoriškai neapsimokėtų. Iš Comodo – įmanoma, bet tikimybė mažesnė nei laimėti Teleloto. Kitų institucijų SSL sertifikatus Lietuvoje kažin ar kas žino ir perka, tad plačiau savo išvadomis negriebsiu.

Pažvelkime į istoriją, kaip viskas vyksta praktiškai.

SSL sertifikavimo institucijų klaidos

Per visą SSL sertifikatų istoriją dar nebuvo paskelbta nė vieno atvejo, kad kokia nors draudimo suma būtų išmokėta. Bet tai nereiškia, kad sertifikavimo institucijos nėra padariusios klaidų.

2011 metais DigiNotar išdavė programišiams SSL sertifikatą google.com adresu. Jie per kontroliuojamus Irano interneto tinklus nukreipė šalies naršytojus į savo falsifikuotus Gmail serverius. Taip dėl sertifikavimo institucijos klaidos lankytojams buvo autentifikuojama neteisinga Google tapatybė ir jų Gmail el. pašto slaptažodžiai galėjo patekti tretiesiems asmenims.

Kai tik tai išaiškėjo, visos naršyklės iš karto išbraukė DigiNotar iš patikimų sertifikavimo institucijų sąrašo. Visi jų išduoti SSL sertifikatai nustojo galioti tuo pačiu momentu. Naujai išduoti sertifikatai irgi nebegaliotų, tad įmonė akimirksniu prarado absoliučiai visus klientus. Natūralu, per kelias savaites įmonė bankrutavo.

Nukentėjusių tikrai buvo. Bet jie nebuvo DigiNotar klientai. Tai pagal Symantec sąlygas jiems bendrai galiotų tik 5.000$ draudimas. Pagal Comodo sąlygas galiotų kur kas didesnis draudimas, bet šiuo atveju nuostolių tikriausiai nebuvo: nutekėjo asmeniniai duomenys, o ne pinigai iš kreditinės kortelės.

Net jei draudimo sąlygomis būtų įmanoma pasinaudoti, įvykus tokiai klaidai jokių išmokų niekas negautų. Sertifikavimo institucijai praradus pasitikėjimą, iki jos bankroto paskelbimo lieka tik kelios savaitės. Gauti draudimo išmokas iš bankrutavusios įmonės kitoje jurisdikcijoje nėra taip lengva.

Iš šių baugių pavyzdžių nesusidarykite klaidingos nuomonės. Praktiškai beprasmis yra tik reklamuojamas draudimas, o ne pats SSL sertifikatas.

Apskritai SSL sertifikatai yra saugūs ir sertifikavimo institucijos vertos savo vardo. Jos ypatingai rūpinasi savo saugumu, kad išvengtų bet kokių klaidų. Vertinant techniškai, jų darbas yra gan paprastas. Dėl didelės automatizacijos beveik jokių klaidų nepasitaiko. Rizika yra tik dėl bandymų įsilaužti į jų tinklus arba apgauti kitokiomis machinacijomis. Per 20 metų jos jau išmoko su tuo tvarkytis. Neteisingų SSL sertifikatų išdavimo atvejų per visą SSL sertifikatų naudojimo istoriją yra vienetai.

SSL sertifikatų pasitikėjimas ir prestižas

Apibendrinant, jei rinksitės Symantec sertifikatą (ThawteVerisignGeoTrust ir RapidSSL), jo draudimo suma yra visiška butaforija, skirta tik emociškai pagrįsti brangesniųjų sertifikatų kainą. Jei rinksitės Comodo sertifikatą, lankytojams siunčiate žinutę, kad pas jus mokėti kreditine kortele saugu: jei jūs esate kitos svetainės savininku apsimetantis sukčius, tai Comodo kompensuos kreditinės kortelės pavedimą savo nustatytose ribose.

Deja, lankytojai nei apie tokio draudimo egzistavimą, nei apie jo sąlygas nežino. Tad rinkdamiesi brangesnį SSL sertifikatą su didesne draudimo suma savo patikimumą kažin ar pakeliate.

Geriau rinkitės žinomos firmos pigiausią EV sertifikatą. Pasitikėjimą lemia žinomas sertifikavimo institucijos pavadinimas, o ne sertifikato modelis. Naršyklėje žalia EV sertifikato juosta su jūsų įmonės pavadinimu pasitikėjimą stiprins daug labiau nei teoriniai milijonai sutartyje, kuri per visą žmonijos istoriją dar nėra buvusi panaudota.

Kokios yra žinomiausios sertifikavimo institucijos, kuo skiriasi SSL sertifikatai, kaip išsirinkti tinkamą ir kaip nepermokėti rašiau straipsnyje „SSL sertifikatų skirtumai ir optimali kaina“.

Įžvelgiate praktinę SSL sertifikatų draudimo naudą? Parašykite komentaruose, labai įdomu išgirsti ir kitokių nuomonių.

Autoriaus interesų atskleidimas

Mano vadovaujama UAB „Virtuali erdvė“ pardavinėja ir padeda įsidiegti Thawte ir Comodo SSL sertifikatus.

Autorių teisės

Creative Commons licencija Straipsnis „SSL sertifikatų draudimas – finansinės apsaugos iliuzija“, kurio autorius Pakamore pasilieka ir saugo visas savo autoriaus teises, yra licencijuotas publikavimui pagal Creative Commons Priskyrimas + Jokių išvestinių darbų (BY-ND) 4.0 tarptautinę licenciją.